KPMG zog im Juni 2026 einen KI-Report zurück, weil 40 von 45 Quellen erfunden waren. Auch EY und Deloitte stolperten über halluzinierte Inhalte. Die Lehre für jedes KMU: KI-Output nie ungeprüft in Angebote, Reports oder Mandantenschreiben übernehmen.
Am 12. Juni 2026 meldete The Register, was vorher kaum jemand für möglich gehalten hätte: Eine der vier größten Wirtschaftsprüfungsgesellschaften der Welt hat einen eigenen Bericht aus dem Verkehr gezogen, weil dieser selbst voller KI-Halluzinationen steckte. Betroffen war der KPMG-Report "Total Experience: Redefining Excellence in the Age of Agentic AI" aus dem Oktober 2025. Aufgedeckt wurde der Fall vom KI-Erkennungsdienst GPTZero und von der Financial Times. Das Pikante daran: KPMG verkauft Beratung zum Thema KI-Governance.
Was im KPMG-Report stand und was nicht
Der Report sollte zeigen, wie Unternehmen im Zeitalter agentischer Künstlicher Intelligenz Spitzenleistung neu definieren. Stattdessen wurde er zum Lehrstück darüber, was passiert, wenn ein Sprachmodell ungeprüft schreiben darf.
GPTZero und die Financial Times prüften die Belege. Von 45 zitierten Quellen-Titeln waren 40 frei erfunden. Keine echten Studien, keine echten Berichte, nur plausibel klingende Titel, die ein KI-System ausgedacht hatte.
Es blieb nicht bei erfundenen Fußnoten. Der Report enthielt komplette Fallstudien, die es nie gegeben hat. Darunter Geschichten über die UBS, über den britischen NHS und über die Schweizerischen Bundesbahnen. Detailliert ausformuliert, mit Zahlen versehen, fachlich überzeugend. Und vollständig erfunden.
Genau das ist die Mechanik einer Halluzination. Das Modell erfindet nicht offensichtlichen Unsinn. Es erfindet das, was wahr sein könnte, in einer Sprache, die nach Quelle klingt. Wer den Text nur überfliegt, merkt nichts. Wer eine einzige Fußnote nachschlägt, sieht sofort, dass der Boden fehlt.
Dass die Schweizerischen Bundesbahnen oder der NHS in einem Beratungsreport auftauchen, wirkt für sich genommen völlig glaubwürdig. Große öffentliche Organisationen, die ihre Prozesse digitalisieren, sind ein naheliegendes Beispiel. Das Modell hat die Logik richtig getroffen und die Tatsachen dazu erfunden. Diese Kombination ist gefährlicher als ein plumper Fehler, weil sie keinen Verdacht weckt.
KPMG ist kein Einzelfall
Wenn es nur KPMG getroffen hätte, könnte man von einem Ausrutscher reden. Aber es ist ein Muster.
EY zog im Mai 2026 eine Cybersecurity-Studie zurück. Auch dort steckten erfundene Belege drin, 16 von 27 Quellen waren nicht echt. Eine Sicherheitsstudie, ausgerechnet, also genau das Feld, in dem Verlässlichkeit das ganze Geschäft ist.
Deloitte traf es schon 2025. Die Firma musste einen Teil eines Auftrags über 440.000 australische Dollar an die australische Regierung zurückerstatten, weil ein gelieferter Bericht erfundene Quellen enthielt. Erst später wurde offengelegt, dass dabei ein KI-System aus der Azure-OpenAI-Reihe im Spiel war.
Drei der vier großen Beratungshäuser, drei Länder, drei verschiedene Themen. In allen Fällen das gleiche Grundproblem: KI-generierter Text ging an einen zahlenden Kunden, ohne dass jemand die Belege nachgeprüft hat.
Bemerkenswert ist auch, wer die Fälle aufgedeckt hat. Beim KPMG-Report war es ein KI-Erkennungsdienst, GPTZero, und eine Zeitung, die Financial Times. Nicht die internen Qualitätssicherungen der Häuser selbst. Die Berichte waren bereits draußen, bevor jemand im eigenen Haus stutzte. Das verschiebt die Frage von "kann das passieren" zu "wie lange dauert es, bis es jemand bemerkt".
Hier lohnt eine klare Ansage. Diese Häuser verkaufen "AI Governance" als Beratungsleistung. Sie erklären anderen Firmen, wie man Künstliche Intelligenz verantwortungsvoll, geprüft und sauber dokumentiert einsetzt. Und während sie das tun, veröffentlichen sie selbst Reports, die halluzinieren. Wer den Brandschutz verkauft und im eigenen Büro die Kerze brennen lässt, hat ein Glaubwürdigkeitsproblem. Genau das ist hier passiert.
Warum dich das als KMU direkt betrifft
Die naheliegende Reaktion lautet: große Beratung, große Reports, hat mit meiner Firma nichts zu tun. Das ist genau die falsche Lesart.
Wenn schon ein Konzern mit eigener Qualitätssicherung, eigener Rechtsabteilung und tausenden Mitarbeitern es nicht schafft, KI-Output vor der Veröffentlichung zu prüfen, dann ist die Gefahr in einem Zwei-Personen-Büro nicht kleiner. Sie ist größer.
Denk durch, wo in deinem Alltag bereits KI-Text in offizielle Dokumente fließt. Ein Steuerberater lässt sich von ChatGPT eine Begründung für ein Mandantenschreiben formulieren. Ein Handwerksbetrieb generiert ein Angebot mit einer technischen Beschreibung. Eine Marketingagentur baut einen Branchenreport für einen Kunden. Eine Personalabteilung schreibt eine Stellenausschreibung mit zitierten Gehaltsdaten. In jedem dieser Fälle kann ein Sprachmodell eine Zahl, einen Paragraphen oder eine Studie erfinden, die niemand nachschlägt.
Der Schaden ist im kleinen Betrieb oft direkter als im Konzern. Ein KPMG kann einen Report zurückziehen, eine Entschuldigung formulieren und weitermachen. Ein einzelner Mandant, dem du eine erfundene Rechtsgrundlage ins Schreiben gesetzt hast, kündigt das Vertrauensverhältnis und erzählt es weiter. Reputation ist im Mittelstand das Betriebskapital, das am schnellsten verbrennt.
Wir sehen in unseren DigiMan-Kursen regelmäßig, dass Teilnehmer aus Kanzleien und kleinen Betrieben den Output von ChatGPT für bare Münze nehmen, weil er so souverän formuliert ist. Genau das ist die Falle. Je flüssiger und fachlicher der Text klingt, desto stärker der Reflex, ihm zu glauben. Souveräne Sprache ist aber kein Beweis für korrekte Inhalte. Sie ist nur ein Beweis für ein gut trainiertes Modell.
Die Faktencheck-Routine ist keine Kür mehr
Aus dem Big-Four-Debakel lässt sich eine einfache Regel ableiten. Jeder KI-generierte Text, der dein Haus verlässt, braucht einen Menschen, der die belegbaren Aussagen vor dem Versand prüft.
Das heißt konkret: Jede genannte Quelle wird einmal angeklickt. Jede Zahl wird gegen die Originalquelle gehalten. Jeder zitierte Paragraph wird im Gesetzestext gegengelesen. Das klingt nach Aufwand. Es dauert bei einem normalen Angebot oder Mandantenschreiben aber meist nur wenige Minuten, und es ist der Unterschied zwischen Professionalität und Blamage.
Wichtig ist, wer das macht und wann. Die Prüfung gehört vor den Versand, nicht danach. Und sie gehört in die Verantwortung eines Menschen mit Fachwissen, nicht zurück an dasselbe KI-System, das den Text erzeugt hat. Ein Modell, das fragst, ob es gerade halluziniert hat, liefert dir oft die nächste Halluzination.
Diese Pflicht hat seit Anfang 2026 auch einen rechtlichen Rahmen. Die KI-Kompetenzpflicht nach Artikel 4 des EU AI Act gilt seit dem 2. Februar 2025. Sie verlangt von Unternehmen, die KI einsetzen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Genau dazu gehört das Wissen, dass ein Sprachmodell Quellen erfinden kann und dass man Output prüfen muss. Wer seine Leute nicht schult, ist nicht nur fahrlässig, sondern im Verzug.
Was das für KMU bedeutet
Das KPMG-Debakel ist die teuerste kostenlose Schulung, die der Mittelstand bekommen kann. Du musst den Fehler nicht selbst machen, du kannst ihn an einem Konzern beobachten, der ihn öffentlich vorgemacht hat.
Die richtige Konsequenz ist nicht, KI aus dem Betrieb zu verbannen. Künstliche Intelligenz spart in den meisten Büros echte Stunden, und die Modelle werden besser. Die richtige Konsequenz ist, eine feste Prüfregel einzuziehen, bevor irgendetwas Kundenrelevantes das Haus verlässt. Wer das einmal als Prozess aufsetzt und dokumentiert, hat gleichzeitig den Nachweis, dass er die Verantwortung ernst nimmt. Das schützt vor dem peinlichen Fall und es schützt vor dem Compliance-Vorwurf.
Wer jetzt KI im Betrieb einführt, sollte zwei Dinge zusammen denken: das Werkzeug und die Schulung. Ein Team, das versteht, wie Halluzinationen entstehen und wie man sie abfängt, holt aus denselben Tools mehr Nutzen bei weniger Risiko. Genau das war beim Big-Four-Report die fehlende Zutat.
Häufige Fragen
Warum hat KPMG 2026 einen KI-Report zurückgezogen?
Am 12. Juni 2026 meldete The Register, dass KPMG den Report "Total Experience: Redefining Excellence in the Age of Agentic AI" aus Oktober 2025 aus dem Verkehr zog. GPTZero und die Financial Times stellten fest: 40 von 45 zitierten Quellen-Titeln waren frei erfunden, dazu komplette Fallstudien über UBS, den britischen NHS und die Schweizerischen Bundesbahnen, die es nie gab.
Ist das KPMG-Debakel ein Einzelfall bei den Big Four?
Nein, es ist ein Muster. EY zog im Mai 2026 eine Cybersecurity-Studie zurück, in der 16 von 27 Quellen nicht echt waren. Deloitte musste 2025 einen Teil eines Auftrags über 440.000 australische Dollar an die australische Regierung zurückerstatten, weil ein Bericht erfundene Quellen enthielt. Später wurde Azure-OpenAI-Nutzung offengelegt.
Warum betrifft das ein kleines Unternehmen direkt?
Wenn schon ein Konzern mit eigener Qualitätssicherung KI-Output nicht vor der Veröffentlichung prüft, ist die Gefahr im Zwei-Personen-Büro größer, nicht kleiner. KI-Text fließt überall in offizielle Dokumente: Mandantenschreiben, Angebote, Branchenreports, Stellenausschreibungen. Ein Modell kann dabei eine Zahl, einen Paragraphen oder eine Studie erfinden, die niemand nachschlägt.
Wie verhindere ich Halluzinationen in KI-Texten meines Betriebs?
Jeder KI-generierte Text, der dein Haus verlässt, braucht einen Menschen, der die belegbaren Aussagen vor dem Versand prüft. Jede Quelle einmal anklicken, jede Zahl gegen die Originalquelle halten, jeden Paragraphen gegenlesen. Die Prüfung gehört vor den Versand und in die Hand eines Menschen mit Fachwissen, nicht zurück an dasselbe KI-System, das den Text erzeugt hat.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein, QCG und AFBG im Vergleich.
Für Geschäftsführer und HR: KI-Compliance-Pflichten für KMU als kostenloser Step-by-Step-Guide.
Zuletzt aktualisiert: 14.06.2026. Stand der Recherche: 14.06.2026.